janvier - 2021


AUTEUR : ANNE-SOLÈNE GAY

Les conséquences du Brexit sur la protection des données personnelles

Régime applicable aux transferts de données personnelles vers le Royaume-Uni

Dans le cadre de l’accord de commerce et de coopération conclu le 24 décembre 2020, le Royaume-Uni et l’Union Européenne sont convenus que le Règlement Général sur la Protection des Données personnelles (RGPD) restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois, soit jusqu’au 1er juillet 2021.

Pendant cette période transitoire, toute communication de données personnelles vers le Royaume-Uni ne sera pas considérée comme un transfert de données vers un pays tiers et les données personnelles pourront donc continuer à être transférées au Royaume-Uni sans autre formalité.

Comme exposé par la CNIL dans son communiqué du 28 décembre 2020, à l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert hors Union européenne. De tels transferts ne pourront alors être effectués que sous réserve que l’exportateur des données ait préalablement mis en place les garanties appropriées prévues par le RGPD (à savoir notamment : clauses contractuelles types, règles contraignantes d’entreprise, codes de conduite, etc.) et à la condition que les ressortissants de l’Union européenne disposent de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD.

Néanmoins, les dispositions du RGPD ayant été transposées en droit anglais par le Data Protection Act 2018, il est peu probable que la Commission européenne n’adopte pas une décision d’adéquation concernant le Royaume-Uni avant la fin de la période transitoire.

Par ailleurs et en tout de cause, en cas de transfert de données vers le Royaume Uni, les responsables de traitement et/ou sous-traitants européens devront avant la fin de la période transitoire mettre à jour leurs registres de traitement et les politiques de confidentialité afin de mentionner les transferts vers le Royaume-Uni.

Fin du bénéfice du « guichet unique » à compter du 1er janvier 2021

A partir du 1er janvier 2021, les responsables de traitement et les sous-traitants qui sont établis uniquement au Royaume-Uni et qui procèdent à des traitements de données personnelles relatives à des personnes qui se trouvent sur le territoire de l'Union cesseront de bénéficier du mécanisme de guichet unique. Seuls continueront à en bénéficier les responsables du traitement et/ou sous-traitants qui disposent d’un établissement principal au sein de l’Espace économique européen (EEE).

Ainsi, les responsables de traitement et les sous-traitants basés au Royaume-Uni mais néanmoins soumis au RGPD du fait de leurs activités de traitement seront donc tenus de désigner un représentant dans l’un des pays de Union européenne.

Ce représentant sera l’interlocuteur des autorités de contrôle et des personnes concernées pour toute question liée aux activités de traitement afin de garantir leur conformité au RGPD.


Tags:
Juris Initiative, Anne-Solène Gay, Behring, données personnelles, RGPD, Brexit, transferts de données, pays tiers